12/05/17

Les fournisseurs de services internet, peuvent-ils vendre l’historique de navigation de leurs utilisateurs?

Les fournisseurs de services Internet américains ont la  permission de vendre l'historique de navigation de leurs  utilisateurs, là où en Europe cela n'est possible qu'avec  leur consentement explicite, clair et informé.

1. Suppression des règles de protection de la vie privée

Le 28 mars 2017, le Congrès américain a approuvé la proposition permettant aux fournisseurs de services Internet de vendre l'historique de navigation de leurs utilisateurs sans que le consentement des utilisateurs ne soit nécessaire. Le Sénat américain a également approuvé cette proposition.

L'historique de navigation est une mine d’informations pour les sociétés. Il dévoile ce que vous pensez, ce que vous recherchez, ce que vous aimez. Il contient également des informations sensibles, il peut donner des indices sur vos préférences politiques, votre santé ou vos croyances philosophiques. Il va donc sans dire que ces informations sont très précieuses pour les entreprises, mais il est évident que ces informations ne les regardent pas.

En octobre 2016, sous le Président Obama, la Fédéral Communications Commission (FCC) avait encore adopté des règles pour protéger la vie privée des consommateurs. La FCC y reconnaît que l'historique de navigation est une information sensible et donne aux consommateurs le choix de décider de le partager ou non.

Il est peu surprenant que ces règles soient abolies sous le président Trump, donnant aux fournisseurs de services Internet tels que AT & T ou Verizon libre jeu avec l'historique de navigation de leurs utilisateurs. Le navigateur utilisé par le consommateur importe peu. Google Chrome, par exemple, inclut la possibilité de surfer en « navigation privée », mais cela implique seulement que l'utilisateur est invisible pour les sites Web visités. La visite reste visible pour les fournisseurs de services Internet. Une possibilité d'échapper à cela réside dans l’utilisation d’une connexion VPN de qualité. Cela n’offre pas non plus une pleine garantie.

Le fait que des (plus petits) fournisseurs de services Internet Américains aient déjà annoncé qu'ils ne vendraient pas ces informations sans le consentement de l'utilisateur est un signal positif.


2. Et en Europe?

Quelle est la situation en Europe? Le Règlement général de données de la vie privée (RGDP) est entré en vigueur et prendra effet le 25 mai 2018. Ce règlement répète dans une large mesure les conditions dans lesquelles les données personnelles peuvent être traitées et recueillies.

2.1 La légalité de traitement

En premier lieu, l'article 6 détermine les conditions de la légitimité du traitement des données personnelles. Le fournisseur de services Internet peut procéder à un traitement sur base du consentement de la personne concernée ou sur base d'un intérêt légitime. Ce dernier est naturellement susceptible d'interprétation.

Le Groupe de travail 29 a écrit en 2014 un avis sur la façon dont l’intérêt légitime doit être interprété. Il doit être légal, il doit être clairement décrit pour qu'il soit possible de l’opposer aux droits fondamentaux de la personne concernée, et il doit être réel et actuel. Le Groupe de travail 29 précise que l'intérêt légitime peut être invoqué pour des fins de marketing, étant donné que cela permet aux responsables du traitement de mieux connaître ses clients et de répondre à leurs besoins. Le Groupe de travail 29 ajoute immédiatement que l'intérêt légitime ne permet absolument pas que les responsables du traitement ne surveillent le comportement de leurs clients de manière excessive, ne vendent leurs données ou ne fassent des profilages complexes de leurs clients.

Cela indique que l'intérêt légitime ne pourra pas servir comme justification pour les fournisseurs de services Internet pour vendre l'historique de navigation de leurs utilisateurs à des tiers.

2.2 Des dispositions strictes concernant les données personnelles sensibles

En outre, selon l'article 9 du RGDP, il est interdit de traiter des données personnelles révélant l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance à des syndicats. Il est également interdit de recueillir des données génétiques, des données biométriques ou des données relatives à la santé ou concernant l'orientation sexuelle.

L'intérêt légitime du traitement ne joue ici aucun rôle. La seule exception qui existe dans cette matière et qui pourrait être utilisée par les fournisseurs de services Internet est le consentement explicite de la personne concernée. Le RGDP offre cependant la possibilité aux États membres de lever le consentement comme justification du traitement. Une fois qu'un État membre a mis en œuvre cette possibilité, les fournisseurs de services Internet n’auront en principe plus la possibilité de vendre l’historique de navigation de leurs utilisateurs. D'autres raisons de justification, telles que la nécessité du traitement pour la protection des intérêts vitaux de la personne concernée ou la nécessité pour l’exécution des obligations des fournisseurs de services Internet, ne pourront pas être appliquées.

2.3 Le consentement

L’article 7 du RGDP détermine les conditions auxquelles le consentement de la personne concernée doit satisfaire. Le consentement doit être libre, spécifique, informé et sans ambiguïté. En outre, le consentement doit ressortir d’une action active claire. Le consentement ne peut pas être implicite. Enfin, le consentement doit être aussi simple que le fait de le donner. La personne concernée a le droit de retirer son consentement à tout moment et doit en être suffisamment informée.

Cela signifie dans la pratique que les fournisseurs de services Internet doivent informer leurs utilisateurs de façon claire et nette du fait qu'ils traitent l'historique de navigation et le vendent à des tiers. Cela ne peut pas être repris dans les conditions générales, mais doit être présenté sous une forme compréhensible et facilement accessible, pour que le consentement de l'utilisateur puisse être demandé.

3. Conclusion

Les fournisseurs de services Internet sur le marché européen ne peuvent pas partager ou vendre l'historique de navigation Internet à des tiers sans le consentement explicite, clair et informé de leurs utilisateurs, ce qui est une bonne chose.

dotted_texture